Utiliser des partages de fichiers Azure dans un environnement hybride

Azure Active Directory
Fichiers

Cette architecture montre comment inclure des partages de fichiers Azure dans votre environnement hybride. Les partages de fichiers Azure sont utilisés en tant que partages de fichiers sans serveur. En les intégrant à Active Directory Domain Services (AD DS), vous pouvez contrôler et limiter l’accès aux utilisateurs d’AD DS. Les partages de fichiers Azure peuvent alors remplacer les serveurs de fichiers traditionnels.

Architecture

Diagramme d’architecture des partages de fichiers Azure montrant comment les clients peuvent accéder directement à un partage de fichiers Azure via le port TCP 445 (SMB 3.0) ou en établissant une connexion VPN au préalable.

Téléchargez un fichier Visio de cette architecture.

Workflow

L’architecture est constituée des composants suivants :

  • Locataire Azure Active Directory. Ce composant est une instance d’Azure Active Directory (Azure AD) créée par votre organisation. Il joue le rôle de service d’annuaire pour les applications cloud en stockant les objets copiés à partir d’Active Directory local. Il fournit également des services d’identité lors de l’accès aux partages de fichiers Azure.
  • Serveur AD DS. Ce composant est un répertoire et un service d’identité local. L’annuaire AD DS est synchronisé avec Azure AD pour lui permettre d’authentifier les utilisateurs locaux.
  • Serveur de synchronisation Azure AD Connect. Ce composant est un serveur local qui exécute le service de synchronisation Azure AD Connect. Ce service synchronise les informations stockées dans l’annuaire Active Directory local avec Azure AD.
  • Passerelle de réseau virtuel. Ce composant facultatif permet d’échanger du trafic chiffré entre un NAT de réseau virtuel et un emplacement local sur Internet.
  • Partages de fichiers Azure. Fournissent un stockage pour les fichiers et les dossiers auxquels vous pouvez accéder via les protocoles SMB (Server Message Block), NFS (Network File System) et HTTP (Hypertext Transfer Protocol). Les partages de fichiers sont déployés dans des comptes de stockage Azure.
  • Coffre Recovery Services. Ce composant facultatif fournit une sauvegarde des partages de fichiers Azure.
  • Clients. Ces composants sont les ordinateurs membres AD DS, à partir desquels des utilisateurs peuvent accéder aux partages de fichiers Azure.

Components

Technologies clés utilisées pour implémenter cette architecture :

  • Azure AD (Azure Active Directory) est un service d’identité d’entreprise qui fournit une authentification unique, une authentification multifacteur et un accès conditionnel.
  • Azure Files offre des partages de fichiers complètement managés dans le cloud, accessibles par le biais des protocoles standard du secteur.
  • Passerelle VPN : La passerelle VPN envoie du trafic chiffré entre un réseau virtuel Azure et un emplacement local via l’Internet public.

Détails du scénario

Cas d’usage potentiels

Utilisations courantes de cette architecture :

  • Remplacement ou complément de serveurs de fichiers locaux. Le service Azure Files peut remplacer complètement ou compléter des serveurs de fichiers locaux classiques ou des appareils attachés à un réseau. Grâce aux partages de fichiers Azure et à l’authentification AD DS, vous pouvez migrer des données vers Azure Files. Cette migration peut tirer parti de la haute disponibilité et de la scalabilité tout en minimisant les modifications apportées par les clients.
  • Migration lift-and-shift. Le service Azure Files facilite la migration lift-and-shift d’applications qui ont besoin d’un partage de fichiers pour stocker les données utilisateur ou d’application dans le cloud.
  • Sauvegarde et récupération d’urgence. Vous pouvez utiliser Azure Files en guise de stockage pour les sauvegardes ou pour la récupération d’urgence afin d’améliorer la continuité d’activité. Vous pouvez utiliser Azure Files pour sauvegarder vos données à partir de serveurs de fichiers existants, tout en conservant les listes de contrôle d’accès discrétionnaire Windows configurées. Les données stockées sur des partages de fichiers Azure ne sont pas affectées par les sinistres susceptibles d’affecter des emplacements locaux.
  • Azure File Sync. Avec Azure File Sync, les partages de fichiers Azure peuvent être répliqués sur Windows Server en local ou dans le cloud. Cette réplication améliore les performances et répartit la mise en cache des données à l’endroit où elles sont utilisées.

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.

Utiliser des comptes de stockage à usage général v2 (GPv2) ou FileStorage pour les partages de fichiers Azure

Vous pouvez créer un partage de fichiers Azure dans différents comptes de stockage. Bien que les comptes de stockage à usage général v1 (GPv1) et classiques puissent contenir des partages de fichiers Azure, la plupart des nouvelles fonctionnalités du service Azure Files sont disponibles uniquement dans les comptes de stockage GPv2 et FileStorage. Alors qu’un partage de fichiers Azure stocke des données de compte de stockage GPv2 sur du matériel basé sur un disque dur (HDD), il stocke les données de compte de stockage FileStorage sur du matériel basé sur un disque SSD. Pour plus d’informations, consultez Créer un partage de fichiers Azure.

Créer des partages de fichiers Azure dans des comptes de stockage contenant uniquement des partages de fichiers Azure

Les comptes de stockage vous permettent d’utiliser différents services de stockage dans le même compte de stockage. Ces services de stockage incluent des partages de fichiers Azure, des conteneurs d’objets blob et des tableaux. Tous les services de stockage dans un compte de stockage unique partagent les mêmes limites de compte de stockage. La combinaison des services de stockage dans le même compte de stockage complique la résolution des problèmes de performances.

Notes

Autant que possible, déployez chaque partage de fichiers Azure dans son propre compte de stockage distinct. Si plusieurs partages de fichiers Azure sont déployés dans le même compte de stockage, ils partagent tous les limites de celui-ci.

Utiliser des partages de fichiers Premium pour les charges de travail qui nécessitent un débit élevé

Les partages de fichiers Premium sont déployés sur des comptes de stockage FileStorage et stockés sur du disque SSD. Cette configuration permet de les adapter au stockage et leur permet d’accéder aux données qui nécessitent des performances cohérentes, un débit élevé et une faible latence. (Par exemple, ces partages de fichiers Premium fonctionnent bien avec les bases de données.) Vous pouvez stocker d’autres charges de travail qui sont moins sensibles à la variabilité de performance sur les partages de fichiers standard. Ces types de charges de travail incluent les partages de fichiers à usage général et les environnements dev/test. Pour plus d’informations, consultez Création d’un partage de fichiers Azure.

Toujours exiger un chiffrement lors de l’accès aux partages de fichiers Azure

Utilisez toujours un chiffrement en transit lors de l’accès aux données dans des partages de fichiers Azure. (Le chiffrement en transit est activé par défaut.) Azure Files n’autorise la connexion que si elle est effectuée à l’aide d’un protocole qui utilise le chiffrement, tel que SMB 3.0. Les clients qui ne prenant pas en charge le protocole SMB 3.0 ne peuvent pas monter le partage de fichiers Azure si un chiffrement en transit est requis.

Utiliser un VPN si le port qu’utilise le protocole SMB (port 445) est bloqué

De nombreux fournisseurs de services Internet bloquent le port TCP 445 utilisé pour accéder aux partages de fichiers Azure. Si le déblocage du port TCP 445 n’est pas envisageable, vous pouvez accéder aux partages de fichiers Azure via une connexion ExpressRoute ou VPN (réseau privé virtuel) (site à site ou point à site) pour éviter le blocage du trafic. Pour plus d’informations, consultez Configurer un VPN point à site (P2S) sur Windows pour l’utiliser avec Azure Files et Configurer un VPN site à site pour une utilisation avec Azure Files.

Envisager d’utiliser Azure File Sync avec des partages de fichiers Azure

Le service Azure File Sync vous permet de mettre en cache des partages de fichiers Azure sur un serveur de fichiers Windows Server local. Une fois la hiérarchisation cloud activée, File Sync permet de garantir qu’un serveur de fichiers dispose toujours de suffisamment d’espace libre et ce, même s’il rend plus de fichiers disponibles qu’un serveur de fichiers ne peut en stocker localement. Si vous disposez de serveurs de fichiers Windows Server locaux, envisagez d’intégrer des serveurs de fichiers avec des partages de fichiers Azure à l’aide d’Azure File Sync. Pour plus d’informations, consultez Planification d’un déploiement Azure File Sync.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.

Extensibilité

  • La taille d’un partage de fichiers Azure est limitée à 100 tébioctets (Tio). Il n’existe aucune taille de partage de fichiers minimale et aucune limite au nombre de partages de fichiers Azure.
  • La taille maximale d’un fichier dans un partage de fichiers est de 1 Tio et le nombre de fichiers dans un partage de fichiers n’est pas limité.
  • Le nombre maximal d’opérations d’E/S par seconde (IOPS) est de 10 000 IOPS pour un partage de fichiers Standard, et de 100 000 IOPS pour un partage de fichiers Premium.
  • Le débit maximal est de 300 mebioctets/s (Mio/s) pour un partage de fichiers Standard, et de 6 204 Mio/s pour un partage de fichiers Premium.
  • Les limites d’IOPS et de débit sont par compte de stockage Azure. Elles sont partagées entre les partages de fichiers Azure dans le même compte de stockage.
  • Pour plus d’informations, voir Objectifs de performance et d’extensibilité d’Azure Files.

Disponibilité

Notes

Un compte de stockage Azure est la ressource parente des partages de fichiers Azure. Le partage de fichiers Azure dispose du niveau de redondance fourni par le compte de stockage qui contient le partage.

  • Actuellement, le service Azure Files prend en charge les options de redondance des données suivantes :
    • Stockage localement redondant (LRS) . Les données sont copiées de façon synchrone trois fois au sein d’un même emplacement physique dans la région primaire. Cette pratique protège de la perte de données due à des défaillances matérielles, telles qu’un lecteur de disque défectueux.
    • Stockage redondant interzone (ZRS). Les données sont copiées de façon synchrone sur trois zones de disponibilité Azure dans la région primaire. Les Zones de disponibilité sont des emplacements physiques uniques au sein d’une région Azure. Chaque zone est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un système de refroidissement et d’un réseau indépendants.
    • Stockage géo-redondant (GRS) . Les données sont copiées de façon synchrone trois fois au sein d’un même emplacement physique dans la région primaire à l’aide d’un stockage localement redondant (LRS). Vos données sont ensuite copiées de façon asynchrone vers un emplacement physique unique dans la région secondaire. Le stockage géoredondant fournit six copies de vos données réparties entre deux régions Azure.
    • Stockage géoredondant interzone (GZRS) . Les données sont copiées de façon synchrone sur trois zones de disponibilité Azure dans la région primaire à l’aide d’un stockage redondant interzone (ZRS). Vos données sont ensuite copiées de façon asynchrone vers un emplacement physique unique dans la région secondaire.
  • Des partages de fichiers Premium peuvent être stockés uniquement dans un stockage localement redondant (LRS) et un stockage redondant interzone (ZRS). Des partages de fichiers Standard peuvent être stockés dans un stockage localement redondant (LRS), un stockage redondant interzone (ZRS), un stockage géoredondant (GRS) et un stockage géoredondant interzone (GZRS). Pour plus d’informations, consultez Planification d’un déploiement Azure Files et Redondance de Stockage Azure.
  • Azure Files étant un service cloud, comme pour tous les services cloud, vous devez disposer d’une connexion Internet pour accéder aux partages de fichiers Azure. Une solution de connexion Internet redondante est vivement recommandée pour éviter les interruptions d’accès.

Simplicité de gestion

  • Vous pouvez gérer des partages de fichiers Azure en utilisant les mêmes outils que tout autre service Azure. Ces outils incluent le portail Azure, l’interface de ligne de commande Azure et Azure PowerShell.
  • Les partages de fichiers Azure appliquent des autorisations de fichiers Windows standard. Vous pouvez configurer des autorisations au niveau des répertoires ou des fichiers en montant un partage de fichiers Azure et en configurant les autorisations à l’aide de l’Explorateur de fichiers, de la commande Windows icacls.exe ou de la cmdlet Windows PowerShell Set-Acl.
  • Vous pouvez utiliser une capture instantanée de partage de fichiers Azure pour créer une copie en lecture seule à un point dans le temps des données du partage de fichiers Azure. Vous créez une capture instantanée de partage au niveau du partage de fichiers. Vous pouvez ensuite restaurer des fichiers individuels dans le portail Azure ou dans l’Explorateur de fichiers, où vous pouvez également restaurer un partage entier. Vous pouvez avoir jusqu’à 200 captures instantanées par partage, ce qui vous permet de restaurer des fichiers vers différentes versions à un point dans le temps. La suppression d’un partage, a également pour effet de supprimer ses captures instantanées. Les captures instantanées de partage sont incrémentielles par nature. Seules les données qui ont changé depuis le dernier instantané de partage sont enregistrées. Cette pratique permet de réduire le temps nécessaire à la création de l’instantané de partage et d’économiser sur les coûts de stockage. Des instantanés de partage de fichiers Azure sont également utilisés lorsque vous protégez des partages de fichiers Azure avec le service Sauvegarde Azure. Pour plus d’informations, consultez Vue d’ensemble des instantanés de partage pour Azure Files.
  • Vous pouvez empêcher la suppression accidentelle de partages de fichiers Azure en activant l’option de suppression réversible pour les partages de fichiers. Si un partage de fichiers est supprimé lorsque la suppression réversible est activée, le partage de fichiers passe à l’état supprimé de manière réversible au lieu d’être effacé définitivement. Vous pouvez configurer la durée pendant laquelle les données supprimées de manière réversible sont récupérables avant leur suppression définitive, et restaurer le partage à tout moment lors de la période de rétention. Pour plus d’informations, consultez Activer la suppression réversible sur les partages de fichiers Azure.

Notes

Le service Sauvegarde Azure active la suppression réversible pour tous les partages de fichiers dans le compte de stockage lorsque vous configurez la sauvegarde pour le premier partage de fichiers Azure dans le compte de stockage correspondant.

Notes

Les partages de fichiers Standard et Premium sont facturés sur la base de la capacité utilisée lorsqu’ils sont supprimés de manière réversible, plutôt que sur la base de la capacité approvisionnée.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

  • Utilisez l’authentification AD DS sur SMB pour accéder aux partages de fichiers Azure. Cette configuration fournit la même expérience d’authentification unique (SSO) fluide lors de l’accès aux partages de fichiers Azure que lors de l’accès aux partages de fichiers locaux. Pour plus d’informations, consultez Fonctionnement et Procédure d’activation de la fonctionnalité. Votre client doit être joint au domaine AD DS, car l’authentification est encore effectuée par un contrôleur de domaine AD DS. En outre, vous devez attribuer des autorisations aux niveaux du partage et du fichier/répertoire pour pouvoir accéder aux données. L’attribution d’autorisation au niveau du partage passe par le modèle RBAC Azure. L’autorisation au niveau du fichier/répertoire est gérée comme les ACL Windows.

    Notes

    L’accès aux partages de fichiers Azure est toujours authentifié. Les partages de fichiers Azure ne prennent pas en charge l’accès anonyme. Outre l’authentification basée sur l’identité via SMB, les utilisateurs peuvent s’authentifier auprès du partage de fichiers Azure également à l’aide d’une clé d’accès de stockage et d’une signature d’accès partagé.

  • Toutes les données stockées dans le partage de fichiers Azure sont chiffrées au repos à l’aide d’Azure Storage Service Encryption (SSE). La fonctionnalité SSE opère de la même façon que le Chiffrement de lecteur BitLocker sur Windows où les données sont chiffrées sous le niveau du système de fichiers. Par défaut, les données stockées dans Azure Files sont chiffrées avec des clés managées par Microsoft. Avec les clés gérées par Microsoft, Microsoft gère les clés pour chiffrer/déchiffrer les données, ainsi que leur rotation régulière. Vous pouvez également choisir de gérer vos propres clés, ce qui vous permet de contrôler le processus de renouvellement.

  • Le chiffrement en transit est activé par défaut pour tous les comptes de stockage Azure. Cette configuration signifie que toutes les communications avec les partages de fichiers Azure sont chiffrées. Les clients qui ne prennent pas en charge le chiffrement ne peuvent pas se connecter aux partages de fichiers Azure. Si vous désactivez le chiffrement en transit, les clients qui exécutent des systèmes d’exploitation plus anciens, tels que Windows Server 2008 R2 ou une version antérieure de Linux, peuvent également se connecter. Dans ce cas, les données ne sont pas chiffrées en transit à partir des partages de fichiers Azure.

  • Par défaut, les clients peuvent se connecter aux partages de fichiers Azure depuis n’importe où. Afin de limiter les réseaux à partir desquels les clients peuvent se connecter aux partages de fichiers Azure, configurez le pare-feu, les réseaux virtuels et les connexions de point de terminaison privé. Pour plus d’informations, consultez Configurer des pare-feu et des réseaux virtuels Stockage Azure et Configuration des points de terminaison réseau Azure Files.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

  • Le service Azure Files offre deux niveaux de stockage et deux modèles de tarification :
    • Stockage Standard : utilise un stockage sur disque dur (HDD). Il n’y a pas de taille minimale pour le partage de fichiers et vous ne payez que l’espace de stockage utilisé. En outre, vous devez payer les opérations de fichiers, telles que l’énumération d’un répertoire ou la lecture d’un fichier.
    • Stockage Premium : utilise un stockage sur disque SSD. La taille minimale d’un partage de fichiers Premium est de 100 gibioctets et vous payez en fonction de l’espace de stockage approvisionné. Lorsque vous utilisez un stockage Premium, toutes les opérations sur les fichiers sont gratuites.
  • Des frais supplémentaires sont associés aux instantanés de partage de fichiers et aux transferts de données sortantes. (Lorsque vous transférez des données à partir de partages de fichiers Azure, le transfert de données entrantes est gratuit.) Les frais de transfert de données dépendent de la quantité de données transférées et de la référence SKU de votre passerelle de réseau virtuel, si vous en utilisez une. Pour plus d’informations sur les coûts réels, consultez Tarification d’Azure Files et Calculatrice de prix Azure. Le coût réel varie en fonction de la région Azure et de votre contrat individuel. Pour plus d’informations sur la tarification, contactez un représentant commercial Microsoft.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

En savoir plus sur les technologies des composants :

Explorer les architectures connexes :